Akamai araştırmacıları, KmsdBot kötü amaçlı yazılımını kullanan bir kripto madenciliği botnet'i araştırdı. Araştırmacılar yanlışlıkla botnet'in korumalı bir ortamda çökmesine neden oldu. Kötü amaçlı yazılım yanlış programlandığından, boşluksuz bir komut botnet'i çökertmek için yeterliydi.
Bu ayın başlarında, Akamai Güvenlik Araştırması, kurbanlara SSH ve zayıf kimlik bilgileri yoluyla bulaşan bir kripto madenciliği botnet'i olan KmsdBot hakkında bir blog yazısı yayınladı. Kötü amaçlı yazılım bir Akamai bal küpüne bulaştıktan sonra, botnet hemen analiz edildi ve bir gönderide rapor edildi.
Eksik alan nedeniyle botnet çökmesi
Akamai'nin uzmanları botnet'i izlemeye devam etti ve birkaç komut göndererek kullanılamaz hale getirdi. Herhangi bir kötü niyetli varlığın en ölümcül unsuru, komuta ve kontrol elde etme yeteneğidir (C2). KmsdBot C2 işlevine sahip olduğu için uzmanlar ilgili farklı senaryoları test etmek istedi. Bu testin bir kısmı, RFC 1918 adres alanındaki bir IP adresiyle iletişim kurmak için yeni bir KmsdBot örneğini değiştirmekten oluşuyordu.
Bu, uzmanların kontrollü bir ortamda oynamasına izin verdi ve sonuç olarak, işlevselliğini ve saldırı imzalarını test etmek için test makinesindeki bota kendi komutlarını gönderebildiler. İlginç bir şekilde, tek bir hatalı biçimlendirilmiş komuttan sonra bot komut göndermeyi durdurdu. Bu, takip soruşturmalarına yol açar. Tehdit aktörlerinin kendi işlerini çökerttiği bir botnet ile her gün karşılaşmazsınız. İlginç: Çökmüş bir bot artık çalışmıyor. Botnet için tekrar kullanılabilir hale getirmek için önce sistemin yeniden enfekte edilmesi gerekir.
Kötü amaçlı yazılımın zayıf programlanması
Uzmanlar, blog gönderilerinde açıklandığı gibi, C2'ye giden yanlış kodlanmış bir komut satırının ağı çökerttiğini öğrendiler. Botun, komutların doğru biçimlendirildiğini doğrulamak için kodunda yerleşik herhangi bir hata denetimi yoktur. Bu nedenle, boşluk içeren bir komut, çökmeye neden olmak için yeterliydi. Tam teknik açıklama blog gönderisinde bulunabilir.
Bu botnet bazı çok büyük lüks markaları ve oyun şirketlerini hedefliyor, ancak başarısız bir komutla devam edemiyor.
Daha fazlası Akamai.com'da
Akamai hakkında
Akamai, dijital yaşamı güçlendirir ve korur. Dünyanın önde gelen şirketleri, dijital deneyimlerini oluşturmak, sunmak ve korumak için Akamai'ye güveniyor. Bu şekilde her gün milyarlarca insanı günlük yaşamlarında, işte ve boş zamanlarında destekliyoruz. Buluttan uca en dağıtık bilgi işlem platformunu kullanarak müşterilerimizin uygulama geliştirmesini ve çalıştırmasını sağlıyoruz.